Das Thema Profiling erreicht immer mal wieder die breite Öffentlichkeit – meist unter negativen Vorzeichen. So etwa durch die Änderung der Nutzungsbedingungen und Datenschutzrichtlinie von WhatsApp Anfang Februar 2021. Aber was genau ist eigentlich Profiling? Welche Regelungen trifft die Datenschutz-Grundverordnung (DSGVO) dazu? Was müssen Unternehmen bei der Bildung von Profilen datenschutzrechtlich berücksichtigen?
Am Anfang des Profilings steht das Sammeln von Daten
Kurz gesagt, verbirgt sich hinter dem Begriff Profiling das Sammeln von Daten über eine bestimmte natürliche Person aus ggf. mehreren Quellen, um aufgrund dieser gesammelten Daten besser mit der Person zu interagieren. Der erste Schritt zum Profiling ist also das Sammeln von Daten.
Im Kontext des Onlinemarketings findet das Sammeln in der Regel mittels Tracking statt. Ziel ist es, sich ein möglichst genaues Bild über die Nutzer machen zu können. Dadurch lässt sich ein Online-Angebot interessengerecht anpassen und verspricht somit mehr Aufmerksamkeit zu bekommen.
Zum Verständnis: Der Begriff des Trackings taucht in der DSGVO nicht ausdrücklich auf. Man kann ihn aber aus den Erwägungsgründen der Verordnung ableiten. Tracking im Sinne der DSGVO ist das Nachverfolgen eines individuellen Verhaltens von Nutzern. Dies kann sogar geräteübergreifend stattfinden. Daten, die beim Tracking gesammelt werden, sind zum Beispiel IP-Adressen, MAC-Adressen und Seriennummern eines Mobilgeräts. Das wohl bekannteste Tracking-Tool ist Google Analytics. Hier sollte man sich nicht davon verwirren lassen, dass die englische Bezeichnung Analytics eigentlich für Reichweitenmessung (einer Website) steht. Bei der Reichweitenmessung geht es um die Frage, wie häufig eine Website bzw. ein spezifischer Inhalt aufgerufen wird. Der individuelle Nutzer spielt dabei keine große Rolle.
Neben dem Tracking ist eine weitere Methode der Datensammlung das Zusammentragen von kundenspezifischen Informationen in sog. Auskunfteien. Bekanntestes Beispiel für eine Auskunftei ist die Schufa. Gängig sind Auskunfteien vor allem in der Banken-, Immobilien- oder Versicherungsbranche.
Wie weitreichend die Datensammlungen in solche Auskunfteien seien können, verdeutlicht der kürzlich veröffentlichte Beschluss der Datenschutzkonferenz (DSK) zum Energieversorgerpool. Eine Überlegung der Energieversorger war in Auskunfteien auch Positivdaten über Kunden zu speichern. Darin ließen sich Vertragsanzahl und -dauer von Energieverträgen vermerken. Die DSK sieht dies als zu weitreichend an:
„Jede Bürgerin und jeder Bürger hat jedoch das Recht, den Wettbewerb zwischen den Energieversorgern zu nutzen und am Markt nach günstigen Angeboten zu suchen. Der Wunsch, vermeintliche ‚Schnäppchenjäger‘ in einem zentralen Datenpool zu erfassen, um sie bei Vertragsanbahnung als solche identifizieren und ggf. von Angeboten ausschließen zu können, stellt kein berechtigtes Interesse i. S. d. Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO dar.“
Bewertung des Profils aufgrund gesammelter Daten
Wenn die Daten zur Bildung eines Profils gesammelt sind, fängt das eigentliche Profiling an. Die DSGVO versteht unter Profiling
„jede Art der automatischen Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ (Art. 4 Nr. 4 DSGVO)
Auf Grundlage der gesammelten und zusammengeführten Daten einer Person findet also eine Bewertung dieser statt. Um das Beispiel Tracking wieder aufzugreifen: Mithilfe des Trackings lassen sich Informationen sammeln und mithilfe von Profiling Benutzerprofile erstellen, die u.a. für Marketingzwecke geeignet sind. So können Unternehmen auf den Nutzer zugeschnittene Werbung schalten, weil sie analysiert und bewertet haben, für was sich der Nutzer besonders interessiert.
Im sogenannten Lead-Management werden Nutzerprofile auch aufgrund der Häufigkeit ihrer Interaktionen bewertet. Hat ein Profil einen bestimmten Reifegrad erreicht, kann der Vertrieb den Nutzer ansprechen.
Auch bei der Abfrage von Auskunfteien wird häufig ein sogenanntes Scoring-Verfahren durchgeführt. Dadurch wird einer Person nach Bewertung der über ihn verfügbaren Informationen ein Wert zugeordnet, der z.B. eine Auskunft über die Zahlungsfähigkeit im Onlinehandel gibt.
Automatisierte Entscheidung im Einzelfall
Eine Möglichkeit mit den gesammelten Daten zu arbeiten, ist eine Entscheidung auf Grundlage des erstellten Profils zu treffen. Art. 22 DSGVO regelt dabei die automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling:
- Im Rahmen des Profilings kann einerseits eine automatisierte Entscheidung getroffen werden.
- Andererseits ist es möglich, dass eine Entscheidung zwar unter Zuhilfenahme von Profiling erfolgt, aber der Entscheidungsträger selbst abwägt, wie die Entscheidung ausfallen soll.
Beide Konzepte sind voneinander zu unterscheiden.
Eine automatisierte Entscheidung liegt nach der DSGVO vor, wenn sie „ohne jegliches menschliche[s] Eingreifen“ erfolgt (Erwägungsgrund 71 DSGVO). Ein Bespiel für eine automatische Entscheidung ist, wenn alleine wegen des vergebenen Scoring-Werts ein Vertragsschluss zustande kommt oder eben nicht.
Grundsätzlich ist eine solche automatisierte Entscheidung zunächst unzulässig, wenn sie eine rechtliche Wirkung entfaltet oder den Betroffenen in ähnlicher Weise erheblich beeinträchtigt (Art. 22 Abs. 1 DSGVO). Beispielsweise soll ein Online-Kreditantrag oder ein Online-Einstellungsverfahren nicht ausschließlich auf einer automatisierten Entscheidung beruhen (Erwägungsgrund 71).
Ausnahmen davon statuiert Art. 22 Abs. 2 und Abs. 3 DSGVO. Sofern eine automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt, sind trotzdem angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie das berechtigte Interesse des Betroffenen zu wahren. Dafür muss zumindest das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gewährleistet sein.
Bezüglich der besonderen Kategorien personenbezogener Daten ist Art. 22 Abs. 4 DSGVO zu berücksichtigen. Dieser schränkt die Möglichkeit automatisierter Entscheidungen mit rechtlicher Wirkung in höherem Maße ein.
Rechtliche Voraussetzungen zur Anwendung von Profiling
Neben den besonderen Voraussetzungen bei der automatisierten Entscheidung mit rechtlicher Wirkung, sind beim Sammeln und Verwerten von Daten auch die grundsätzlichen Vorgaben der DSGVO zu beachten.
Rechtsgrundlage
Für die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten bedarf es einer Rechtsgrundlage. Das betrifft sowohl das Sammeln von Daten als auch das Verwerten von Daten und die evtl. damit verbundene automatisierte Entscheidungsfindung. In jedem dieser Schritte liegt eine Verarbeitung im Sinne der DSGVO vor.
Wie der oben erwähnte Beschluss der DSK bezüglich der Auskunfteien der Energieversorger zeigt, ist z.B. im Fall eines berechtigten Interesses an der Verarbeitung genau zu prüfen, wie weitereichend dieses ist. Nicht jegliches Datum, das gespeichert werden soll, wird von einem überwiegenden berechtigten Interesse umfasst. Die Positivdaten von Kunden der Energieversorger gehören laut DSK nicht dazu. Hier überwiegt das Interesse der Kunden an der Nichtverarbeitung.
Informationspflicht
Bei jeder Verarbeitung personenbezogener Daten hat der Verantwortliche die Betroffenen gem. Art. 13 DSGVO über Rechtsgrundlage, Zweck und Dauer der Speicherung zu informieren. Als zusätzlichen Schutz im Falle der automatisierten Entscheidungsfindung einschließlich Profiling legt die DSGVO eine erweiterte Informationspflicht (Art. 13 Abs. 2 lit. f) DSGVO) fest. Demnach hat der Verantwortliche eine faire und transparente Verarbeitung zu gewährleisten. Er muss Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung aufzeigen. Unter Logik sind die angewendeten Methoden und Kriterien der Datenverarbeitung zu verstehen. So muss z.B. die Funktionsweise des Algorithmus erklärt werden, die zur Ermittlung des Scoring-Wertes führt.
Betroffenenrechte
Wie bei jeder Verarbeitung stehen Betroffenen weitreichende Rechte zu. So auch im Falle von Profiling. Bei jeder Verarbeitung besteht das Recht auf Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung der Verarbeitung und ein Widerspruchsrecht.
Fazit: Profiling ist ein sensibles Thema
Profiling ist ein sehr nützliches Tool, um Verarbeitungsprozesse effizienter zu gestalten und um auch sonst einen größeren Nutzen aus der Verarbeitung von Daten zu ziehen. Profiling ist zwar gesetzlich erlaubt, allerdings mit deutlichen Einschränkungen versehen.
Um den besonderen Anforderungen an Rechtsgrundlage, Information der Betroffenen und Transparenz der Verarbeitung gerecht zu werden, sollten Sie vor Einsatz eines Profilings unbedingt Ihren Datenschutzbeauftragten involvieren und ggfs. externe datenschutzrechtliche Beratung hinzuziehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!